LastPass raadt na nieuw lek aan sites direct vanuit de Vault te openen

LastPass dicht een nieuw aangetroffen lek in zijn browserextensie. Het bedrijf raadt in aanloop naar het oplossen van het probleem aan om opgeslagen sites direct vanuit de lokaal opgeslagen LastPass Vault te openen en niet via autofill. Het lek is gevonden door een Google-onderzoeker.

De LastPass-extensie maakt het mogelijk wachtwoorden automatisch in te vullen bij verschillende diensten, maar LastPass raadt af dit te doen totdat een kwetsbaarheid in de code verholpen is. Gebruikers dienen in te loggen door naar de Vault te gaan en daar op de sites te klikken waar ze willen inloggen. Volgens de dienst is dit de veiligste manier. Autofill is uit te schakelen via de optie Automatically fill log-in information bij de voorkeuren.

Google-beveiligingsonderzoeker Tavis Ormandy maakte afgelopen weekend al bekend een kwetsbaarheid te hebben aangetroffen waarmee hij code kon uitvoeren binnen LastPass 4.1.43. Hij wist een exploit te ontwikkelen en verstrekte de details aan LastPass, die op zijn blog meldt eraan te werken om de kwetsbaarheid te dichten. LastPast raadt verder het gebruik van tweetrapsauthenticatie aan bij elke dienst die deze optie biedt en waarschuwt gebruikers ervoor alert te zijn op phishingaanvallen.

Het is het zoveelste LastPass-lek in korte tijd die Googles Project Zero-medewerker Ormandy aandraagt. De dienst voor wachtwoordenbeheer reageert meestal snel op zijn meldingen.

LastPass

IT-banen

Reacties (133)

DBlan

27 maart 2017 15:52

Wel jammer eigenlijk.

Je hebt hier een bedrijf dat snel en op een goeie manier reageert op bugs en toch krijgen mensen hier een slecht gevoel door.

Persoonlijk ben ik blij dat er 'experts' zijn die goed op zoek gaan naar bugs en deze melden. We hebben hier in ieder geval transparantie.

Het lijkt me niet dat als je niets hoort over bugs dat ze er niet zijn.
Vanuit mijn kant begin ik Lastpass wel meer de waarderen.

Jester-NL @DBlan • 27 maart 2017 16:10

"Snel en op een goeie manier"...
Ik ga mee met 'snel'. De goeie manier? Weet ik niet precies. Zie deze post:
PostHEX in 'nieuws: LastPass raadt na nieuw lek aan sites direct vanuit de Va..., en de tweet daarin.
Simpelweg: om dit probleem GOED op te lossen moet het pakket vanaf de grond af opnieuw worden geschreven. Er zit een lek in de architectuur. Iedere patch is een pleister, en als je het lek kent, kun je alsnog langs die pleister komen.

Het is aardig dat je waardering kunt opbrengen voor de snelheid waarmee Lastpass pleisters weet te maken en te verstrekken aan haar gebruikers. Ik persoonlijk hoop dat ze ondertussen (veel) meer mankracht hebben zitten op een compleet nieuwe versie, dan op patchbeheer. En vooralsnog voel ik me gesterkt in mijn keuze voor een passwordmanager die niet via internet werkt... dan maar 'klooien' met een database op een (eigen) netwerk-locatie.

ANdrode

@Jester-NL • 27 maart 2017 16:44

> Simpelweg: om dit probleem GOED op te lossen moet het pakket vanaf de grond af opnieuw
> worden geschreven. Er zit een lek in de architectuur. Iedere patch is een pleister, en als je het
> lek kent, kun je alsnog langs die pleister komen.

Het is schrikbarend dat er door één researcher, in zijn vrije tijd/het weekend steeds bugs worden gevonden in lastpass. Als je de pleister kent kom je misschien niet om het probleem heen.

Maat het is tekenend voor problemen met de gehele architectuur van Lastpass. En dit gaat dan alleen om de browser plugin. Andere potentiële zwakheden waar ik nog geen publiek werk over heb gevonden vind ik net zo zorgwekkend (e.g. 2-factor dat "uit" kan bij een expired account & in sommige browsers niet hoeft).

> En vooralsnog voel ik me gesterkt in mijn keuze voor een passwordmanager die niet via
> internet werkt... dan maar 'klooien' met een database op een (eigen) netwerk-locatie.

Een password manager die via de browser werkt is niet intrinsiek onveilig. Maar in de huidige situatie heb je twee problemen:

Het invullen van een wachtwoord wordt gestart via een interactie in de pagina. Hierbij weet een gebruiker nooit zeker of de UI van de password manager is
Autofill, wat erg makkelijk is, werkt intrinsiek op een onveilige manier. Als je ongeveer een domein + URL matched en daarna de login in een "bekend" stuk HTML invult is dat erg kwetsbaar

...Niet dat deze issues nu van toepassing zijn. Ik ben echt verbaasd hoe de huidige bug naar code execution leidt en ik verwonder mij hoe autofill uitzetten dit mitigeert.

Kingeling @ANdrode • 27 maart 2017 17:18

Ja, ware het niet dat dit niet zomaar een researcher is... Tavis is bijzonder kundig en, mijns inziens, zou elke leverancier waar Tavis zijn aandacht op richt zich "zorgen" moeten maken.

ANdrode

@Kingeling • 27 maart 2017 17:25

Tavis is extreem kundig en kiest alleen bij echt kritische issues voor een publieke waarschuwing. In dit geval en bij de recente cloudflare bug die hij publiceerde vind ik dat terecht.

De gemiddelde security specialist zal issues die hij vind niet vinden en mogelijk zelfs als intuïtie hebben dat "zo'n bug niet kan".

Ik besef mij echter dat een team van onderzoekers van een nation state actor zulke issues ook kan/zal vinden. En daar schrik ik van

jeroen7s @ANdrode • 27 maart 2017 19:51

Een password manager die via de browser werkt is niet intrinsiek onveilig.

toch zijn er zeker redenen die je kunt geven waarom browser-based password managers minder veilig zijn:
"When you use a browser extension password manager, you give attackers an API to interact with your password manager via JavaScript or the DOM. That's how LostPass worked, and it's how many of the new attacks work, too. Desktop-based password managers have no such access, as they require compromising the local machine first, which is much harder than visiting a webpage."
http://www.networkworld.c...r-browser-extensions.html

ANdrode

@jeroen7s • 27 maart 2017 20:12

Daar ben ik mij bewust van

. Daarom noemde ik die twee beperkingen.

Als je de password manager niet meer in de DOM integreert maar als losse extensie/"app" draait in een browser dan vallen de meeste voordelen én de aanvallen via DOM/Javascript weg.

Maar goed, als je dat doet dan heb je feitelijk een Electron app, waarbij je de updates laat doen via het Chrome extension mechanisme ipv dat je dit zelf moet regelen

Eigenlijk een Chrome app dus, maar de support daarvan stopt helaas binnenkort

KopjeThee @Jester-NL • 27 maart 2017 17:43

En vooralsnog voel ik me gesterkt in mijn keuze voor een passwordmanager die niet via internet werkt... dan maar 'klooien' met een database op een (eigen) netwerk-locatie.

Dat heeft niets met dit probleem te maken... Het is geen issue op hun servers...

tom.cx @DBlan • 27 maart 2017 16:12

Het is inderdaad jammer, maar dit was voor mij wel de virtuele druppel en ben nu weer over gegaan op een alternatief. Want er komen naar mijn idee te vaak bug meldingen in het nieuws over LastPass als je het vergelijkt met bijv. 1Password.

Ik begin mij dan ook af te vragen hoe veilig dit product echt is. Zeker omdat je hier je wachtwoorden veilig in wil bewaren. Wat voor de meeste hier toch echt belangrijk is. Overigens moet ik wel zeggen dat je van 1Password vrijwel niks hoort, maar dat kan ook zowel positief als negatief zijn.

PostHEX @tom.cx • 27 maart 2017 16:37

1Password is natuurlijk niet vrij van bugs, zoals elke software. Zie: https://bugs.chromium.org...zero/issues/detail?id=888.

1Password heeft tenminste een bug bounty programma dat enige vertrouwen wekt. Althans hun hoogste beloning van 100k: https://blog.agilebits.co...oughts-100000-top-bounty/.

Wat mij echter stoort aan 1Password is in hun consumenten producten het gebrek aan 2FA. 1Password Teams ondersteunt het aanbod van DUO Security. Begrijp niet waarom de consumenten producten het nog niet hebben. Om deze reden is voor mij de enige betaalde kluis Dashlane (ben aan het testen op dit moment), en KeePass als enige gratis optie. De rest heb ik totaal geen interesse naar. Zijn te klein om mijn vertrouwen te wekken en tijd te kunnen vragen. Maar zodra 1Password 2FA aan gaat bieden, is dat een serieuze kandidaat.

tom.cx @PostHEX • 27 maart 2017 16:51

Ik ben het deels met je eens dat 2FA voor 1Password belangrijk is. Je hebt met 1Password je "Security key" en je wachtwoord. Zonder een van deze twee kan je helemaal niks met je wachtwoord kluizen. Dit is overigens wat ze zelf aangeven.

If you’re familiar with two-factor authentication (2FA), you already know the benefits of having a second factor in addition to your password. Your Secret Key can be thought of as a second factor, but unlike most 2FA systems, it is a true encryption factor. This makes it much stronger than 2FA systems which rely solely on authentication.

Your Secret Key isn’t sent to you from an authentication server, so it can’t be reset, intercepted, or evaded. It encrypts your data before your devices send any data over the Internet.

We call this approach to multiple factors Two-Secret Key Derivation.

PostHEX @tom.cx • 27 maart 2017 17:21

Als ik het goed begrijp hebben ze eenzelfde aanpak als KeePass met de Key File. Wat in feite dus is [iets dat je weet]+[iets dat je bezit] =encryption key. Dat kan ik waarderen, maar als je al een goede encryptie key hebt d.m.v. een (zeer) goed wachtwoord, waarom dan nog meer er bovenop doen? Eerder zie ik liever 2FA voor de client, zodat voordat iemand wilt gaan brute force-en, men eerst de client met de kluis erin moet ontgrendelen. In kluis in een kluis als het ware. Dus als men iets potentieel zou onderscheppen tijdens authenticatie, dan hebben ze nog steeds het wachtwoord nodig.

whyhankee @PostHEX • 27 maart 2017 17:47

De consumenten- (betaalde) versie van 1password heeft 2FA.

Zie hier voor een uitleg, de schermen zien er iets anders uit maar het principe is hetzelfde: https://support.1password.com/one-time-passwords/

PostHEX @whyhankee • 27 maart 2017 17:59

Of ik mis iets, maar dat gaat volgens mij toch echt over 2FA voor websites, en niet 2FA voor 1Password zelf. In de video zie je dat 1Password als een TOTP generator wordt gebruikt. Een Google Authenticator vervanger, als het ware. Ik had het over 2FA om je 1Password client of account te helpen beveiligen.

[Reactie gewijzigd door PostHEX op 24 juli 2024 13:10]

whyhankee @PostHEX • 27 maart 2017 18:01

Oh, jij bedoelde 2FA om de kluis te openen, sorry, dat heb ik dan gemist ben ik bang, excuus

Verwijderd @DBlan • 27 maart 2017 19:43

Ik denk dat een groot deel van de mensen die hier een slecht gevoel over hebben dat eerder ook al hadden. Er zijn genoeg mensen (waaronder mijzelf) die password managers de slechtste vorm van veiligheid ooit vinden.

Ik bedoel, ik snap helemaal dat het lekker makkelijk is, maar als je even realistisch nadenkt ben je met een password manager niet veiliger dan dat je bent als je overal hetzelfde wachtwoord zou gebruiken, uiteindelijk is het namelijk toch zo dat al je logins onder 1 wachtwoord hangen, je hebt het alleen maar makkelijker gemaakt voor een hacker door al je wachtwoorden bij elkaar te verzamelen.

jurgen1982820 @Verwijderd • 27 maart 2017 21:00

Deels waar maar als ik jou login en wachtwoord heb kom ik overal in.
Als je mijn lastpass login gegevens hebt kan je nog niets. Ten eerst wordt je simpelweg geblokkeerd als je niet in Nederland woont en ten tweede heb ik nog OTP aan staan.

Verwijderd @jurgen1982820 • 27 maart 2017 21:04

Maarja, dat ben jij/dat is lastpass, er zijn genoeg mensen/password managers die het minder goed regelen. (nogmaals, verder weinig bezwaar dat jij/anderen dit soort software wel fijn vinden, alleen in mijn ogen echt 'not done')

En ik gebruik natuurlijk niet overal hetzelfde wachtwoord, we zitten hier wel op Tweakers he

PostHEX @DBlan • 27 maart 2017 16:14

Hoe meer ik over Lastpass te weten kom, hoe meer ik ze ga haten (ben op dit moment nog gebruiker, maar dat duurt niet lang meer).

Bug bounty is overigens $50 - $2,500 per bug voor een wachtwoordkluis (https://bugcrowd.com/lastpass). Neem de tijd om dat te laten bezinken.

Edit: officiële Lastpass security pagina naar die bugcrowd link hierboven (voor de gene die het niet geloven): https://lastpass.com/enterprise/security/

[Reactie gewijzigd door PostHEX op 24 juli 2024 13:10]

Verwijderd @PostHEX • 27 maart 2017 17:20

Hoe meer ik over Lastpass te weten kom, hoe meer ik ze ga haten (ben op dit moment nog gebruiker,

Je zou denken dat iemand die een bepaald software product 'haat' dat meteen nooit meer zou gebruiken. Wat is de overtreffende trap van haten?

PostHEX @Verwijderd • 27 maart 2017 17:28

Ik geef de schuld aan mijn uitstelgedrag.

XyritZz @DBlan • 27 maart 2017 19:45

Naar mijn mening moeten ze die hele autofill er gewoon uit halen.

Dit is nu de derde of vierde keer dat er een lek wordt gevonden in LastPass en elke keer weer is het de autofill die de problemen veroorzaakt.

Haal dat er uit, en maak mensen zelf verantwoordelijk waar ze hun wachtwoorden invullen.

Mitsuko @XyritZz • 27 maart 2017 21:30

Ik heb het in ieder geval in de instellingen uitgezet.

Vind wel dat in ieder geval de Firefox extensie niet heel veel vertrouwen wekt: sommige instellingen kan je niet wijzigen (wordt niet opgeslagen), en in Nightly werkt de detectie van nieuwe accounts voor geen meter (zorgt voor een soort oneindige loop), en dat gewoon helemaal uitzetten lijkt niet te gaan.

[Reactie gewijzigd door Mitsuko op 24 juli 2024 13:10]

Verwijderd @DBlan • 27 maart 2017 16:48

Wel jammer, maar gewoon een kwestie van tijd dat dit soort dingen gebeuren natuurlijk.

En daarom voor mij persoonlijk: een dikke 'nee' tegen dit soort programma's. Ik hou mijn wachtwoorden wel op mijn eigen risico in mijn eigen beheer.

TunefulDJ_Mike 27 maart 2017 15:37

Op zich erg dat er zoveel lekken naar voren komen in lastpass. Echter geloof ik wel dat straks lastpass een van de veiligere is door het oplossen van al deze lekken

CivLord

@TunefulDJ_Mike • 27 maart 2017 15:48

Het lijkt erop alsof er een soort onofficiële audit door Google op LastPass wordt uitgevoerd. Er worden door Google een hoop resources gezet op het vinden van kwetsbaarheden. Dit is al de derde in vrij korte tijd.
Ik denk dat LastPass hierdoor alleen maar beter wordt.

KopjeThee @CivLord • 27 maart 2017 17:57

Die indruk zou je haast krijgen. Ik denk ook dat Lastpass er alleen maar beter van wordt. De vraag bij dit soort password managers is natuurlijk nooit of het 100% veilig is, dat zal het wel nooit zijn. De vraag is of het veiliger is dan alternatieven:

Ergens een briefje in huis.
Overal (+/-) hetzelfde wachtwoord gebruiken
Een alternatieve password manager, misschien met offline opslag

Het is denkbaar dat een briefje in huis een van de veiligste opties is, mits je het briefje niet op je monitor plakt. Je hoeft in ieder geval geen password software te vertrouwen. Je weet wanneer je risico loopt, want dan is er in je huis ingebroken. De kans dat een inbreker op een willekeurige pagina in een onopvallend notitieblokje gaat zoeken naar wachtwoorden, is bovendien vrij gering. Het scoort alleen niet zo goed op gebruikersvriendelijkheid.

[Reactie gewijzigd door KopjeThee op 24 juli 2024 13:10]

stftweaker @CivLord • 27 maart 2017 16:47

Misschien een overname? Wat is anders de reden om de resources in te zetten

CivLord

@stftweaker • 27 maart 2017 17:01

Een overname heb ik ook even aan gedacht. Maar dan zou ik eerder verwachten dat ze dit tijdens het overnameprocess zouden doen, om de prijs te drukken. Niet eerst sterker maken en dan pas overnemen.

Google kan meer geld verdienen wanneer internetters zich veiliger voelen op internet. Een onveilig gevoel werkt ook veiligheidsmaatregelen als adblockers in de hand. En wanneer bekend wordt dat Google anderen helpt om hun software en diensten veiliger te maken is dat iedere keer weer een imago boost.

Verwijderd @CivLord • 27 maart 2017 17:23

Ja en nee, misschien krabben ze zich bij Lastpass nu ook wel achter de oren of ze wel goed bezig zijn en niet onder de paraplu van een groter geheel met nog meer experts moeten gaan vallen. Misschien zijn ze dus eerder geneigd met minder poen voor hun toko akkoord te gaan.

Dykam @CivLord • 27 maart 2017 16:05

Google heeft inderdaad enigszins recent een team opgezet die andere systemen onderzoekt en vervolgens responsible-disclosure uitoefent op de resultaten.

CivLord

@Dykam • 27 maart 2017 16:42

En ze lijken echt diep door te zoeken. Niet alleen maar even snel zoeken naar laaghangend fruit.

GamingZeUs @CivLord • 27 maart 2017 16:04

Ik gebruikte lang geen lastpass achtige dingen. Toen kwam ik erachter dat ik daardoor slechtere wachtwoorden gebruikte, dat human error waarschijnlijker was dan machine error.

Nu hoor je dat je al die tijd ontzettend te hacken was. Waar gaat dit dan nog over? Het is een schande dat software (blijkbaar) zo moeilijk veilig te schrijven is. Daar zou heel veel meer moeite aan besteed moeten worden. Wellicht tot gevangenisstraffen aan toe, want dit is gewoon letterlijk staatsgevaarlijk.

Maarja, iedereen doet maar alsof er niks aan de hand is. Kop terug het zand in. Rustig door lastpassen.

mcDavid @GamingZeUs • 27 maart 2017 16:08

Gevangenisstraffen? Srsly?

Blijkbaar heb je echt nog nóóit van het begrip veiligheidscultuur gehoord. Het opleggen van straffen druist hier lijnrecht tegenin en zorgt juist voor onveiligheid, doordat mensen hun fouten niet durven toe te geven.

R4gnax @mcDavid • 27 maart 2017 19:06

Blijkbaar heb je echt nog nóóit van het begrip veiligheidscultuur gehoord. Het opleggen van straffen druist hier lijnrecht tegenin en zorgt juist voor onveiligheid, doordat mensen hun fouten niet durven toe te geven.

En als je niets doet zijn er legio bedrijven voor wie beveiliging een ondergeschoven kindje is en zal blijven. Linksom of rechtsom; doodgezwegen of genegeerd, het eigenlijke probleem blijft bestaan.

Wat dat betreft is er eigenlijk maar één degelijke oplossing voor dit soort zaken; wettelijk afgedwongen verplichte audits waarbij herstel van gevonden fouten afgedwongen wordt middels dwangsommen.

Een soort APK keuring voor software, zeg maar.

GamingZeUs @R4gnax • 28 maart 2017 08:47

APK voor software zou zeker een goed idee zijn!

Een keurmerk zou ik prettiger vinden: dan behoud je meer vrijheid. Helaas twijfel ik of mensen genoeg extra zouden betalen voor een software met keurmerk.

Er is echter een groot probleem: het is heel lastig om arbitraire code te valideren. Code moet geschreven worden met navolgbaarheid in gedachten, maar voor "echt veilig" is het doorgaans van essentie heel bijzonder te ontwerpen. Dit heeft veel te maken met sterke typessystemen, en "pure" functies, maw: hoogspecialistische dingen die helemaal niet perse leuk of handig zijn, behalve voor veiligheid.

Ik zie echt niet hoe we mensen ooit kunnen dwingen om (op gepaste momenten) over te gaan naar dergelijke veilige methodieken, zonder een groot en eng risico tegenover falen te zetten.

GamingZeUs @mcDavid • 28 maart 2017 08:42

Ik heb inderdaad nog nooit van het begrip "veiligheidscultuur" gehoord. Ik zou denken dat veiligheid een functie is van je ontwikkelingsproces, niet van een cultureel onderbuikgevoel.

Het heeft inderdaad geen zin om mensen voor het toegeven van eigen fouten het gevang in te gooien. Meestal als iemand toegeeft, en schuld bekend, geef je ze dan ook een strafvermindering. Dat zou ik je niet uit hoeven leggen.

Het geval dat ik voor ogen heb is eerder zoals degene in dit artikel: een derde ontdekt een fout, ontvangt daarvoor een beloning, en de partij die software als veiliger presenteerde dan hij kon garanderen krijgt daarvoor een behoorlijke straf.

Boettes zijn niet effectief als bedrijven er veel aan verdienen. De strafmaat mag niet in het economisch spel verwikkelt zijn - slappe code, grote leugens, veel verdienen, beetje inleveren? Nee. Gewoon lekker een paar maanden om na te denken over hoe je volgende keer kan voorkomen mensen voor te liegen, en in een gevaarlijke situatie te brengen.

Deze logica wordt in sommige landen ook toegepast op architecten: als je een huis doorrekent en het stort op mensen, dan is dat doodslag.

T.C @GamingZeUs • 27 maart 2017 16:39

@ GamingZeUs.... je reactie is op zoveel bijzonder, dat ik niet weet waarmee te starten.

Mensen maken fouten, dat voorkom je nooit.

Jouw suggestie van gevangenisstraffen op fouten kan 2 gevolgen hebben:
- niemand gaat programmeren;
- niemand meldt fouten;

In het eerste geval hebben we niets om de computers mee te bedienen, in het tweede geval enkel software met kritieke fouten.

Als we het doortrekken naar jou, hoeveel dagen zou het duren eer jij langdurig de cel in moet voor het maken van een foutje? (Zeg bewust foutje ipv fraude) Ik schat nog geen hele dag..... tenzij je geen werk verzet.... dan maak je immers geen foutjes.

Je kan beter beloningen uitdelen bij het vinden, oplossen en voorkomen van bugs.

GamingZeUs @T.C • 28 maart 2017 08:36

Dit is software, geen mens. Software hoeft niet fout te zijn, en processen kunnen wel degelijk afdoende bestendiging bieden.

Ja, misschien kan dan ineens 90% van de software die er nu is niet bestaan, omdat het gewoon 10x zoveel moeite is om software daadwerkelijk goed te maken.

Je gaat geen programmeur zeggen "JE HEBT EEN FOUT GEMAAKT, GEVANG", je gaat een directeur zeggen "je bent onverantwoordelijk geweest, en daar tegenover staan bepaalde strafmaatregelen om te zorgen dat directeurs /wel/ die verantwoordelijkheid hebben".

Bugs zijn niet dingen die "er gewoon zijn". Dat is een dwaze houding - een houding die aangeeft dat je niet weet wat je aan het doen bent. En ja, dan kan je het mi beter niet doen.

Iig niet in applicaties waar veiligheid van enig belang is. Als een game crashed, ach, zelfs een webpage zit nog in een sandbox. Maar als je een password manager schrijft, een bankapplicatie, of zo'n sandbox, en die commercieel beschikbaar stelt, zeker als je de broncode niet beschikbaar stelt, dan mag je boette voor je wandaden.

Verwijderd @GamingZeUs • 27 maart 2017 17:25

Nu hoor je dat je al die tijd ontzettend te hacken was. Waar gaat dit dan nog over? Het is een schande dat software (blijkbaar) zo moeilijk veilig te schrijven is. Daar zou heel veel meer moeite aan besteed moeten worden. Wellicht tot gevangenisstraffen aan toe, want dit is gewoon letterlijk staatsgevaarlijk.

Wat is er mis met de doodstraf als we toch aan het roeptoeteren zijn?

En overigens waren alle hacks werkelijk niet bijzonder ernstig zoals jij denk dat ze waren. Het is slechts het feit dat het hier om een password tool gaat maakt het meer problematisch. Maar er is nog geen enkel bewijs dat de lekken gebruikt zijn.

GamingZeUs @Verwijderd • 28 maart 2017 08:37

Dat het buiten proportie is. Duh.

Het is netzogoed buiten proportie mensen weg te laten komen met het onverantwoord publiceren van software. Dat leidt tot de huidige situatie: iedereen denkt dat alles altijd te hacken valt. Dat is onzin. Dat is gewoon omdat het slechte geproduceerde software is.

T.C @GamingZeUs • 28 maart 2017 21:20

GamingZeUs, ben jij programmeur van beroep?
Gewoon een vraag.

Ik ben geen programmeur maar ik test machines in de farmaceutische industrie.
Hoe goed en nauwkeurig ik dit ook doe, iemand anders zal gewoon een fout kunnen vinden.
Is dit raar? Nee, ik ben een mens en daarom controleren ze mij.

Zelf ook aan de kant van controleur gezeten... mijn ervaring is dat alles wat door mensen gemaakt is, bevat fouten.
Het gaat erom wat ermee gebeurt.

GamingZeUs @T.C • 29 maart 2017 15:18

Ik studeer nu een master CS en AI aan de UvA. Niet geheel incorrect om dat "programmeur van beroep" te noemen. Het is best bedrijfleven-gericht.

Formal Validation etc. staat in de kinderschoenen omdat niemand het wil betalen. Maar bijvoorbeeld dit project: https://sel4.systems/, is zo bewezen als maar kan.

In de mediche industrie zijn doden gevallen door toedoen van incorrecte programmacode. Een helse race condition in de software liet bepaalde UI acties invloed hebben op de dosering straling bij stralingstherapie. Zie de THERAC-25 hier.

Het spijt me zo hard te zijn over fouten, maar dat is wat er op het spel staat. In privacy/wachtwoord gevallen gaat het over persoonlijke, staats en bedrijfsgeheimen. Zelfmoorden door gelekte naaktfoto's en datagijzelingen gebeuren door haast in nieuwe functionaliteit toevoegen.

Je kunt niet als niet programmeur fatsoenlijke software testing doen - je moet alle mogelijke executies van de software veilig kunnen bestempelen, na ze allen overwogen te hebben. Zoals wiskundige theorieen bewijzen, zo ook moet je software bewezen worden. En ja, dat is heel erg rotwerk. Het spijt me.

Verwijderd @CivLord • 27 maart 2017 17:06

Ik denk dat er binnenkort het gerucht komt dat Google een overname bod zal plaatsen voor LastPass.

Is het niet volgende maand dan zeker wel voor het eind van dit jaar.

Frikandel @TunefulDJ_Mike • 27 maart 2017 15:51

Ja, deze lekken zijn allemaal naar buiten gebracht door de onderzoeker die hier mee bezig is. Hij is eigenlijk gratis LastPass een security audit aan het geven, alleen dan brengt hij alle lekken ook gelijk naar buiten (zonder details, dat dan weer wel).

Je weet niet of andere password managers dit soort lekken ook gelijk naar buiten zouden brengen. Misschien hebben heeft een of andere concurrerende dienst ook wel een audit gehad maar dan van een ingehuurde onderzoeker die niks naar buiten brengt.

Aan de ene kant zal LastPass blij zijn dat hun dienst veiliger aan het worden is, maar ik denk dat het marketing gedeelte iets minder blij is met al deze negatieve aandacht.

ANdrode

@Frikandel • 27 maart 2017 16:46

Deze lekken worden naar buiten gebracht omdat deze onderzoeker direct publiek meld dat er een probleem is. Deze policy is imo te verdedigen bij een kritisch probleem (code execution) in een kritiek stuk software (zoals lastpass).

Ik was tot vandaag ook autofill gebruiken en ben blij met deze aandacht.

Het nadeel van dit soort disclosures tov een complete audit is dat dit lokale optimalisatie is ('fix de bug') ipv globale optimalisatie ('de architectuur moet anders'). Het voordeel van deze disclosures is dat Lastpass sneller de complete architectuur overhoop zal gooien wanneer het nodig blijkt.

AtomicWing

@TunefulDJ_Mike • 27 maart 2017 15:40

Je weet inderdaad niet hoeveel lekken er zijn bij de andere pakketten die niet worden gemeld. De extensies blijken de zwakke schakel te zijn in het geheel.

PostHEX @TunefulDJ_Mike • 27 maart 2017 16:00

Per tweet van Ormandy:

It will take a long time to fix this properly, it's a major architectural problem. They have 90 days, no need to scramble!

https://twitter.com/taviso/status/845718016520142848

"Een van de veiligere is door het oplossen van al deze lekken?" Are you kidding me!?! Ik ben een lang Lastpass gebruiker, maar ik ben sinds een maand alternatieven aan het testen. Deze kwetsbaarheid is ook geen kleintje, maar waarschijnlijk een van de als niet de grootste voor Lastpass. Dat ik begrijp is dit dus ook een architectuur probleem, wat zeer waarschijnlijk betekent dat het Lastpass team op fundamenteel niveau niet weet wat ze doen.

Ook is de bug bounty van Lastpass niet geruststellend (omdat het enorm laag is voor hoe gevoelig de data is).

Nimja @Sito • 28 maart 2017 09:38

Ik vond het inderdaad wel relevant i.v.m. het recente nieuws over absoluut belachelijke eis van de Britse regeringen tegen e2e encryptie.

himlims_ 27 maart 2017 15:45

wat is er mis met een text file, door pgp heen?

mcDavid @himlims_ • 27 maart 2017 16:14

shoulderbrowsing. Een goeie passwordmanager beschermt je daar ook tegen door te zorgen dat je passwords nooit zichtbaar zijn. Autofill modules zorgen er bovendien voor dat deze niet in je clipboard terechtkomen. Deze risico's zijn waarschijnlijk groter dan de risico's die deze exploits introduceren.

stresstak @mcDavid • 27 maart 2017 17:50

Autofill modules zorgen er bovendien voor dat deze niet in je clipboard terechtkomen.

Hangt er vanaf hoe lang de passwords in dat clipboard blijven staan. In Keepass bijvoorbeeld, heb ik het zo kort ingesteld dat ik vaak zelfs nog haast moet maken omdat de betreffende schijf nog op gang moet komen.

Joop @stresstak • 27 maart 2017 21:31

Tja, als het een mens was die continue het clipboard in de gaten zou moeten houden, dan was dat wellicht een redelijke tegenmaatregel. Maar we hebben het hier over software die automatisch het clipboard uit leest bij een wijziging. Of hij er dan 10 ms of een uur op staat maakt niet heel veel meer uit.

stresstak @Joop • 28 maart 2017 02:14

Of hij er dan 10 ms of een uur op staat maakt niet heel veel meer uit.

Maar ik doe niet aan autofill. En voor handmatig sleur-en-pleur is het best handig.

Blokker_1999

Netwerk en systeembeheer
Wachtwoord

@himlims_ • 27 maart 2017 15:50

gebruiksgemak.

slommer @himlims_ • 27 maart 2017 15:56

Omdat dit wat makkelijker deelt met je collega's en daar de rechten kan instellen wie bij welke share mag?
Wat wat lastiger gaat met een text file.

vdvoort @himlims_ • 27 maart 2017 16:02

Ik wil jou wel eens pgp zien uitleggen aan wat minder tech-savvy mensen, kijken of je het dan nog steeds zo handig lijkt.

himlims_ @vdvoort • 27 maart 2017 16:09

ongetwijfeld - maar zitten hier op t.net, niet computeridee ofzo

thomas1907 @himlims_ • 27 maart 2017 16:15

Nu NuJIJ is gestopt, zijn er denkik veel "ik weet het beter!" mensen hier gekomen die alles weten. Vind dat Tweakers ook aardig veranderd is.
Vooral de topics op het forum, zowat altijd slechte TS's

vdvoort @thomas1907 • 27 maart 2017 17:58

Ik weet niet of je ook op mij doelt maar ik behoorlijk niet tot de groep die jij beschrijft. Ben lid sinds 2007.

Overigens valt het mij op dat juist de kwaliteit achteruit lijkt te gaan van de reacties. Zoals ook die himlims, niet doordacht of beargumenteerd.

thomas1907 @vdvoort • 27 maart 2017 22:28

Nee was niet op iemand bedoelt hier

je hebt zeker gelijk dat de reacties er op achteruit zijn gegaan, Tweakers is heel veel veranderd.
Vooral bij de Android/Apple artikelen is het drama, waar dat vroeger niet zo was

vdvoort @himlims_ • 27 maart 2017 16:19

Ik wist niet dat de doelgroep van LastPass bezoekers van t.net waren.

Los van bovenstaande noem ik een text file en pgp ook niet gebruiksvriendelijk. Dat moet als Tweaker toch slimmer kunnen?

Verwijderd @himlims_ • 27 maart 2017 23:36

Minder geordend. Ik deed dat vroeger ook,ook voor andere dingen, en ben nu begonnen om de laatste versleuteldetextfile in KeePass in te voeren. Dat is een stuk makkelijker te doorzoeken, ctrl-f werkt alleen als je de precieze formulering nog weet.

Tigerblood 27 maart 2017 15:47

Had altijd wel vertrouwen in het feit dat een wachtwoordmanager meer veiligheid bood qua wachtwoordengebruik online. Dat doet het natuurlijk ook, omdat je sterkere en unieke wachtwoorden kan genereren en bewaren, maar als er het ene na het andere lek in diezelfde managers opduikt slaat de twijfel toch weer toe. Hopelijk leven we over een paar jaar in een wachtwoordloze wereld waarin we nieuwe, meer veilige manieren van authenticatie gebruiken. Tot dan is tweefactorauthenticatie de beste beveiliging.

Verwijderd @Tigerblood • 27 maart 2017 15:56

Je bedoeld de tweefactorauthenticatie via SMS, waar iedereen die toegang heeft tot SS7 al je berichten/gesprekken mee kan luisteren en je locatie kan bepalen ?

https://www.theguardian.c...lity-snooping-texts-calls

https://en.wikipedia.org/wiki/Signalling_System_No._7

[Reactie gewijzigd door Verwijderd op 24 juli 2024 13:10]

Tigerblood @Verwijderd • 27 maart 2017 15:59

Nee. Ben bekend met de risico's van 2-FA via SMS. Je hebt natuurlijk ook andere manieren.

stresstak @Tigerblood • 27 maart 2017 17:51

... maar als er het ene na het andere lek in diezelfde managers opduikt slaat de twijfel toch weer toe.

Het lek zit volgens mij in de plugins en add-ons. Niet in de manager zelf.

MadEgg

Wachtwoord

@Tigerblood • 27 maart 2017 18:49

Ik hoop het van harte niet. Password managers zijn veilig, auto-fill-plugins niet. Ik zou de password manager dan ook nooit koppelen aan mijn browser of welk ander programma dan ook.

Wachtwoorden zijn, mits juist toegepast, zeer veilig en zeer flexibel. 2FA voegt daar niet veel aan toe, dat beschermt vooral voor Human Error. Met een adequaat passwordbeleid heeft het niet zoveel meerwaarde.

ATIradeon8500 27 maart 2017 16:35

Ik hou het er op dat een Excel bestand op een USB stickje het veiligste is. USB stick in de home-kluis, wie doet je wat? Hoef je je geen zorgen te maken of anderen wel goed zijn voor jouw beveiliging....

Joop @ATIradeon8500 • 27 maart 2017 21:48

En als je er bij moet als je niet thuis bent?

CriticalHit_NL @ATIradeon8500 • 27 maart 2017 22:02

Alleen zorgen dat je de USB altijd 'veilig' ontkoppelt anders kan je hem mogelijk corrupten, overigens is een Excel bestand lastiger om te openen en is afhankelijk van een programma, maar sowieso meerdere back-ups maken.
Overigens uitkijken voor ransomware die naar bestanden zoekt op bekende extensies en deze kan encrypten, dan heb je ook niks meer aan dat Excel bestand.

mrdemc 27 maart 2017 15:39

Heb de extensies maar gelijk verwijderd. Beetje jammer. Was jaren sceptisch over ww-managers, had het uiteindelijk een tijd geleden toch maar gedaan en dan sindsdien om de zoveel tijd zulke meldingen

Had niet anders kunnen verwachten natuurlijk

Edit: extensie verwijderd maar nog wel de vault in gebruik

[Reactie gewijzigd door mrdemc op 24 juli 2024 13:10]

keeperson @mrdemc • 27 maart 2017 15:57

Het is altijd beter dan maar één (of een paar) wachtwoord(en) hebben en dat een groot datalek zoals Yahoo, Adobe of XSplit je wachtwoord min of meer op straat gooien. Dat ze continu aan de veiligheid van hun product werken is een extreem goed teken ten opzichte van andere services waarbij men gelooft dat een MD5 hash met een vaste salt als "SuperGroeneEwrtenSoep" genoeg is. LastPass is juist een mooie tool om op iedere site een random wachtwoord aan te maken met een zelfingestelde lengte.

Ben benieuwd naar de post-mortem en wat het lek uiteindelijk was, maar ze doen vermoeden alsof je vrij creatief moet zijn om de bug gevonden te hebben.

FreshMaker @keeperson • 27 maart 2017 16:07

Het is altijd beter dan maar één (of een paar) wachtwoord(en) hebben en dat een groot datalek zoals Yahoo, Adobe of XSplit je wachtwoord min of meer op straat gooien. Dat ze continu aan de veiligheid van hun product werken is een extreem goed teken ten opzichte van andere services waarbij men gelooft dat een MD5 hash met een vaste salt als "SuperGroeneEwrtenSoep" genoeg is. LastPass is juist een mooie tool om op iedere site een random wachtwoord aan te maken met een zelfingestelde lengte.

Ben benieuwd naar de post-mortem en wat het lek uiteindelijk was, maar ze doen vermoeden alsof je vrij creatief moet zijn om de bug gevonden te hebben.

Met dit soort berichten lijkt het juist er op dat ze reageren, in plaats van dat ze ontwikkelen.
Zonder dit soort 'tips' gaat de service denken datz e veilig zijn, en gebeurt er niets extra.
Nu MOETEN ze iets doen ( imho is het aanraden om vanuit de vault te werken niet DE oplossing )

Creatief, of met velen brainstormen over 'what if' en dat dan uitvoeren.
Ik krijg hier samen met een collega ook altijd de testversies voorgeschoteld om een tijdje te proberen, omdat de anderen zich binnen de lijntjes houden, die knop is niet voor mij, dus ik druk er niet op
* FreshMaker gaat dan zeker proberen WAT die knop dan doet, en waarom

( een manager over de zeik gekregen omdat ik zijn desktop omgedraaid had, geen bug, maar windows feature, maar omdat HIJ het niet kende, was er paniek en moest alles nagelopen worden )

mrdemc @keeperson • 27 maart 2017 17:33

Dat deed ik al maar dan onthield ik ze altijd. Dat was nog wel te doen, maar op een gegeven moment had ik er zover dat ik niet meer wist welke ik nu waarvoor gebruikte. En dan wordt t lastig

dus dan is LastPass wel prettig. Gebruik t ook nog, maar dan zonder extensie

WhatsappHack

Netwerk en systeembeheer
Wachtwoord

@mrdemc • 27 maart 2017 15:54

Wel als je allerlei tooltjes gaat toevoegen om t nog makkelijker te maken. Elke extensie of (third-party) scriptje is weer een nieuwe aanvalsvector. Als je t gewoon simpel, lokaal en handmatig houdt is er niets aan t handje,

Frikandel @mrdemc • 27 maart 2017 15:56

Iedere keer dat dit soort lekken worden gevonden, wordt LastPass vanzelf een stukje veiliger. Het is maar hoe je het bekijkt.

TheUninvited @mrdemc • 27 maart 2017 15:59

Enigste zwakte is de browserextensie, de "Vault" zelf slaat alles door middel van encryptie in combinatie met je hoofdwachtwoord op. De extensie gaat door middel van je inloggegevens de data opvragen en vult deze in (puur gebruiksgemak). Daar zit een zwakte in, die vault zelf kan niemand ooit binnenkomen zonder jouw wachtwoord. Het blijft nog steeds veel veiliger dan handmatig opschrijven/onthouden. Je kan ook zonder extensie de LastPass desktop app gebruiken, dan moet je alleen je wachtwoorden handmatig kopieëren wanneer je inlogt.

Aial0n @mrdemc • 27 maart 2017 15:59

De extensie niet gebruiken, maar alleen de vault gebruiken is natuurlijk altijd veiliger. Dat gezegd hebbende: Het ergste wat er nu kan gebeuren is dat hackers achter het wachtwoord komen van één account op één website en dan alleen nog van LastPass extentie-users.
Dat staat tegenover wachtwoorden hergebruiken en één zo'n website-je wordt gehackt, dan liggen direct meerdere accounts op straat.

Al met al nog prima veilig. Helemaal omdat elk van deze berichten in de trant was van: "onderzoeker vond lek, gaf hem aan LastPass en het is inmiddels gefixt/tijdelijke fix"

JanW @mrdemc • 27 maart 2017 15:52

Had niet anders kunnen verwachten natuurlijk

Kan je dat toelichten?

mrdemc @JanW • 27 maart 2017 17:31

Omdat het een extensie betreft die binnen een andere applicatie draait en automatische interactie heeft met een externe webpagina. Als je element inspecteerd krijg je ook te zien dat de LastPass JS in de pagina zelf wordt geladen. Hoeft op zich niets te betekenen, maar elke software bevat bugs. En dat icm met voorgaande geeft een reële kans dat er een bug is die is te misbruiken op deze manier. Gebruik nu dus alleen de App op mobiel en de pagina zelf

geen extensie meer.

isene @mrdemc • 27 maart 2017 15:58

Ga over op KeePass, alles in eigen beheer. Je kunt het zelf net zo veilig maken als je wilt.
Denk hierbij door de database in een veracrypt container te zetten en deze te splitten over verschillende locaties. You can go full paranoid on this one

stresstak @isene • 27 maart 2017 17:46

Denk hierbij door de database in een veracrypt container te zetten en deze te splitten over verschillende locaties.

En het wachtwoord van de Veracryptcontainer in een andere Keepassdatabase in een andere Veracryptcontainer. En de bijbehorende keyfile in een derde Veracryptcontainer.
Maak mij gek.. !

isene @stresstak • 27 maart 2017 18:58

En alle aparte veracrypt containers gooi je in een een encrypted virtuele machine met daarop een veracrypt container. Ik wens je succes

stresstak @isene • 27 maart 2017 19:44

Je moet niet alles met VC willen doen. Ik zet het hele zooitje op een partitie met Bitlocker. Maar waar heb ik nou het wachtwoord daarvan gelaten..

isene @stresstak • 27 maart 2017 19:50

Stond die niet in je keepass?

isene @CriticalHit_NL • 27 maart 2017 21:59

Bij veracrypt kun je je eigen extensie kiezen al maak ik er een .blablabladitismijnextensie , en ooit gehoord van backups?

[Reactie gewijzigd door isene op 24 juli 2024 13:10]

CriticalHit_NL @isene • 27 maart 2017 22:04

Tuurlijk heb ik gehoord van back-ups, echter de massa doet er vaak niet genoeg aan, en wanen zich veilig, iets wat waarschijnlijk best kan gebeuren bij het grootste gedeelte van de gebruikers.

lf2 27 maart 2017 16:18

Ik schrik niet meer sinds ik al mijn wachtwoorden op dezelfde manier opsla.

1) je laat lastpass(of 1password) een wachtwoord genereren. Je slaat het op in hun cloud maar submit het nieuwe wachtwoord nog niet.
2) je typt er een keyword bij die makkelijk te onthouden is achter het (al opgeslagen) gegenereerde wachtwoord.
3) je slaat het aangepaste wachtwoord op de website.

Volgende keer als je de website bezoekt vult de dienst het opgeslagen wachtwoord in. Jij voegt jouw extra simpele keyword bij en logt in.

Als ooit de db van de diensten wordt gekraakt. Hebben ze nog steeds maar een gedeelte van het wachtwoord.

[Reactie gewijzigd door lf2 op 24 juli 2024 13:10]

Verwijderd @lf2 • 27 maart 2017 16:50

Het is 'het wachtwoord'.

Op zich wel een goed plan. Alleen wachtwoorden opslaan op een website, dat doe ik om veiligheidsredenen nooit.

// edit: -1?

Natuurlijk! Het is immers een flaimebait en een trol, om wachtwoorden vanwege veiligheidsredenen niet op te slaan in je browser. Dat is een heel domme actie en dat niet opslaan moet je vooral nooit doen. Gewoon altijd alles opslaan overal. [sarcasme off]

En een kleine tip geven over correct taalgebruik is ook not done, tog? 'De wachtwoord' en 'dezelfde wachtwoord' klinkt immers ook zo goed op een sollicitatie. Ik zie dat het inmiddels verbeterd is, dus er is wel wat mee gedaan, dus zo gek was het blijkbaar ook weer niet, minners.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 13:10]

lf2 @Verwijderd • 27 maart 2017 17:03

Het draait uiteindelijk erom dat je niet hetzelfde wachtwoord gebruikt op verschillende websites. (aangezien de website dus gekraakt kan worden en dan iedereen jouw wachtwoord heeft voor alle andere websites)
Daarom genereer je iets apart voor elke website. Maar hetgeen wat je genereert kan je niet onthouden dus heb je een dienst als lastpass nodig.

2factor is leuk maar je moet steeds iets anders erbij pakken.

Op deze manier tackle je eigenlijk alles:

Je hebt op geen enkele website hetzelfde wachtwoord.
De dienst heeft maar een gedeelte van al je wachtwoorden
Jij hoeft maar 1 wachtwoord te onthouden (de keyword die je steeds toevoegt)

( ik gebruik de website naam als keyword aan het einde met een uitroep teken )

mijn wachtwoord voor tweakers zou dus zijn %&*^%*&YUKFHFJSDtweakers!

[Reactie gewijzigd door lf2 op 24 juli 2024 13:10]

Verwijderd @lf2 • 27 maart 2017 17:20

Ja, ik snap wel wat je doet., het was al duidelijk.

Ja, veel mensen doen de naam van de website op het eind achter hun standaard wachtwoord. Al dan niet met nog een uitroepteken, punt of apestaart op het eind. Maar da's een ander verhaal. Maar als je van Lastpass gebruik maakt, dan kan je net zo goed voor al je websites nog een zelfde twoordje er achter plakken, want wat Lastpass ervoor genereert, dat is toch al anders voor elke website. Maar goed...

CR2032 27 maart 2017 17:41

Geeft maar weer eens aan dat een cloud opslag van alleen maar wachtwoorden zoals Lastpass heeft een veel te grote aantrekkingskracht heeft op hackers. Het is een grote honingpot waar ze als vliegen op af zwermen.

Het is veel slimmer om een algemene cloud dienst te gebruiken + eigen encryptie + een eigen password manager zoals bijvoorbeeld Keepass.

Nibble @CR2032 • 27 maart 2017 19:13

Nee hoor, gewoon een gevalletje hoge bomen vangen veel wind. Als iedereen keepass gaat gebruiken en dropbox dan worden dat de nieuwe targets

Het probleem zit hem ook altijd in de browser plugins, dus ook al gebruik je een andere tool, men installeert toch vaak (ook met keepass) een tool die autofill verzorgt uit gemaakt en die is in dat geval net zo kwetsbaar als elk ander.
Ik heb liever dat ze het snel onderkennen en fixen dan dat er een hoop over gezeverd wordt. Maar zoals hier ook al genoemd zouden ze eigenlijk een functie moeten inbouwen zodat je in het geval dat er een lek met workaround bekend is een popup krijgt met de melding hiervan, of minimaal een email notificatie.

CR2032 @Nibble • 27 maart 2017 22:06

Niet met je eens. Lastpass is gewoonweg een veel te grote target geworden omdat het1. te populair is en 2. alleen maar wachtwoorden zijn. Ben je daar binnen, dan ben je de koning. Graaien maar.

Heel wat anders dan bij de vele andere cloud diensten. Daar kun je zelf tenminste je eigen encryptie instellen en ben je veel meer eigen baas.

Je hebt een goed punt over de browser plugins. Absoluut nooit gebruiken.

[Reactie gewijzigd door CR2032 op 24 juli 2024 13:10]

Nibble @CR2032 • 29 maart 2017 19:28

Dat klopt gewoon niet, zelfs al ben je binnen dan nog heb je enkel een database met hashes die ook nog gesalt zullen zijn. Immers gebeurt decryptie op de client. Dus zelfs al ga je er met iemands wachtwoord db vandoor met allemaal gegenereerde wachtwoorden van 20 stuks lang of meer succes die allemaal te gaan bruteforcen omdat rainbow tables hier geen soelaas gaan bieden...

CR2032 @Nibble • 29 maart 2017 22:24

Nee, 100% veiligheid bestaat niet, helaas. Met een man-in-the-middle aanval en de kwetsbare browser plugins is het zeker mogelijk.

Lastpass is een veel te populaire target geworden doordat het alleen maar grosseert in wachtwoorden en niets anders. Het is alleen nog een kwestie van wanneer die wordt gekraakt. Bijvoorbeeld door phishing. Lastpass waarschuwt er zelf ook voor.
https://lastpass.com/support.php?cmd=showfaq&id=10072

Mathi159 27 maart 2017 15:35

Misschien wel de veiligste manier, maar als het niet makkelijk gaat, dan gebeurd het niet.

FreshMaker @Mathi159 • 27 maart 2017 16:01

Het lijkt eerder dat ze eigenlijk willen zeggen: "you're using it wrong"

Op deze manier jagen ze hun gebruikers wel weg, als het niet 'makkelijk' gaat, zal de gebruiker iets anders zoeken

Verwijderd 27 maart 2017 20:01

Euhm, hoe veilig ben ik nu nog als lastpass en chrome gebruiker?

Ik vorige week t hoofdww veranderd en 2staps verificatie aangezet dmv gsm en android authenticator na aanleiding van de laatste hack.

Nu dit bericht weer.

Ik heb nu wederom mijn hoofdww veranderd en autofill uitgeschakeld en daarnaast log ik niet meer in op de extensie.

Hoe kom je er nu achter dat men idd je ww uit de klas heeft getroggeld? Moet ik nu alle ww die in de kluis staan aangaan passen? En, nogmaals hoe weet je nu dat je ww veilig zijn en nog niet te in handen zijn van derden?

Vind dit toch verdomd vervelend...

Joop @Verwijderd • 27 maart 2017 21:57

Of iemand je wachtwoord(en) inmiddels al heeft via dit lek dat weet je niet. Net als dat je ook niet weet of je PC of telefoon op dit moment gehackt is.

Je komt er pas achter als de betreffende persoon er ook daadwerkelijk misbruik van maakt. En zelfs dan is het nog geen garantie. Wie weet leest al jaren iemand stilletjes mee in je email...

Nu al je wachtwoorden gaan veranderen zou ik niet doen. Voor hetzelfde geld zitten er nog 1000 andere lekken in LastPass, of welke andere software je ook gebruikt, maar die niet publiek bekend zijn gemaakt.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (133)

Sorteer op:

Weergave: